В арсенале киберпреступников — большое количество разновидностей атак, инструментов и методов. Некоторые — универсальны, другие — предназначены лишь для выполнения специфических задач. Один из таких инструментов — целевые кибератаки (advanced persistent threat, APT). О том, что это такое, для чего нужно и какую угрозу представляет, рассказывает Алексей Вильсон, глава департамента информационной безопасности Orange Business Services.
Первыми термин APT начали специалисты компании Lockheed Martin. Изначально так называли лишь атаки, направленные на военные и государственные объекты. Сейчас термин APT используют для обозначения всех сложных атак, цель которых — целенаправленное многоходовое проникновение в инфраструктуру для несанкционированной эксплуатации инфраструктуры жертвы в корыстных или личных целях. Как правило, APT-атаки тщательно готовятся. Они направлены на конкретные компании или организации. Организаторы таких атак в подавляющем большинстве случаев — преступные группировки со значительными ресурсами.
Насколько опасны APT-атаки и почему они эффективны?
Поскольку эта разновидность атак готовится и реализуется хорошо подготовленными специалистами, то APT-атаки — один из наиболее опасных аспектов деятельности киберпреступников.
По данным Positive Technologies, две трети представителей финансовой отрасли в РФ сталкивались с последствиями кибератак. 34% опрошенных представителей кредитно-финансовых структур, что их организации понесли прямые финансовые потери. По данным ФинЦЕРТ, за один только 2018 год было 687 атак на организации из кредитно-финансовой сферы. Ущерб, нанесенный двумя группировками киберпреступников, Cobalt и Silence, в том же 2018 году составил 58 млн рублей.
Главная особенность APT-атак в том, что их сложно обнаружить. Например, в начале 2020 года в сети правительственного учреждения Киргизской Республики эксперты по ИБ обнаружили зловредное ПО. Как оказалось, оно попало в сеть три года назад — в 2017 году в ходе APT-атаки.
Вредоносное программное обеспечение часто подписывается скомпрометированными цифровыми сертификатами реально существующих организаций. Такой метод маскировки позволяет обманывать антивирусное ПО, так что зловредный софт остается в сети предприятия или организации долгое время.
Организаторы APT-атак используют модульную структуру атакующего ПО. Каждый модуль выполняет определенную задачу на конкретном этапе атаки. В результате обнаружить деятельность злоумышленников еще сложнее. Чем позже жертва обнаруживает вторжение, тем сложнее смягчить возможные негативные последствия для бизнеса.
Этапы подготовки и реализации атаки
Если говорить о целях атакующих, то есть о компаниях, то для них APT-атаки в большинстве случаев развиваются "бессимптомно". Негативные последствия взлома становятся неприятной неожиданностью для владельцев пострадавшего бизнеса.
APT-атаки отличаются друг от друга, поскольку готовятся индивидуально, но есть общие для всех этапы.
- Разведка на местности. Киберпреступники изучают инфраструктуру предполагаемой жертвы. Чем больше информации о ней злоумышленник может найти в доступных источниках, тем проще определить векторы будущих атак.
- Активная фаза. После того, как злоумышленники получают необходимую информацию о жертве или жертвах, начинается следующий этап. Чаще всего это социальная инженерия, подбор паролей, эксплуатация уязвимостей и ошибок в конфигурации оборудования. Цель этого этапа — получение доступа к внутренним корпоративным системам. На этом этапе жертва уже может видеть признаки APT-атаки. Например, частое поступление фишинговых писем сотрудникам, необычное поведение IT-систем, уничтожение логов событий и т.п. Доступ к информации еще сохраняется. Киберпреступники до определенного момента маскируют свою деятельность, закрепляясь в инфраструктуре и оставляя бэкдоры.
- Изучение инфраструктуры изнутри. Получив доступ к определенным ресурсам, злоумышленник переходит к выявлению критичных для жертвы систем. На этом этапе деятельность киберпреступников становится хорошо заметной, хотя и не во всех случаях. Вовремя отреагировав, можно сорвать атаку. Обязательно нужно установить, как злоумышленник попал в сеть организации, какие ресурсы скомпрометированы, где и как установлены бэкдоры. Без расследования жертва рискует получить продолжение атаки.
- Финал APT-атаки. Это получение киберпреступниками максимально возможного контроля над инфраструктурой и активами жертвы. Дальнейшая несанкционированная эксплуатация инфраструктуры жертвы может быть какой угодно: кража средств, нарушение работоспособности промышленных систем, атака других систем при помощи уже скомпрометированной.
Организаторы APT-атак используют большое количество разных техник. Выше упоминалось о фишинге, кроме него, часто применяется социальный инжиниринг, DDoS и ботнеты, уязвимости нулевого дня и зловреды, которые их эксплуатируют, обычное malware, компрометация устройств, работа с инсайдерами компании.
Методы и инструменты борьбы с APT-атаками
Специалисты по информационной безопасности выделяют следующие методы и инструменты.
- Система ловушек Honey Tokens. При условии грамотной настройки ловушки позволяют выявить признаки присутствия злоумышленника и вовремя принять меры, направленные на защиту активов компании.
- Аппаратные устройства однонаправленной передачи данных. На базе таких устройств/систем совместно с файерволами можно организовывать хорошо защищённые сегменты сети. Передача трафика через такие устройства выполняется в одном направлении. Отсутствие обратной связи осуществляется при помощи гальванической развязки. Для систем, требующих двунаправленный трафик используются схема с двумя однонаправленными устройствами. При такой защите злоумышленнику становится довольно сложно получить доступ в защищенную область из за отсутствия обратной связи.
- SIEM система. Позволяет агрегировать и анализировать события из ИТ систем. Грамотно развернутая и правильно настроенная система позволит специалистам вовремя отреагировать на возникающие угрозы, которые могут являться частью АРТ атаки.
Кроме того, компаниям и организациям, которые заботятся о безопасности и устойчивости своей IT-инфраструктуры, необходимо регулярно оценивать уровень защищенности периметра сети компании при помощи профессионального пентестера. Качественно проведенное тестирование позволяет получить информацию во всех деталях об уровне защищенности и предстоящих необходимых мероприятиях нацеленных на повышение уровня защищенности. В результате тестирования, опираясь на отчеты можно спланировать организационные и технические меры для устранения уязвимостей, чем существенно снизить риск развития сложной атаки.
Рекомендации компаниям по предотвращению APT-атак
Бороться с хорошо организованными APT-атаками сложно, но не невозможно. Для этого стоит выполнять комплекс действий, как административных, так и технических.
Регулярно повышать уровень осведомленности сотрудников в части ИБ. Заказывать проведение учебных фишинговых рассылок.
Разрабатывать и регулярно обновлять политики по ИБ. Каждый сотрудник вне зависимости от занимаемой должности должен понимать их смысл и выполнять точно то, что требуется.
Определить критичные активы компании которые необходимо защищать/наблюдать.
Доверять администрирование своих ИТ/ИБ систем профессионалам. Небрежное администрирование дает злоумышленникам дополнительные возможности для атак.
Максимально широко использовать журналирование в критичных ИТ системах с обязательным бэкапированием журналов в защищенное хранилище.
Использовать средства сбора и корреляции событий для отслеживания повышения привилегий пользователей в системах, подбора паролей, аномальных сетевых активностей в часы наименьшей нагрузки, обнаружения нетипичного исходящего или входящего трафика.
Регулярно устанавливать обновления безопасности на ИТ системы.
Использовать средства защиты конечных систем, ограничивать привилегии пользователей.
Использовать NGFW-сетевые устройства с актуальными подписками на обновления.
Использовать средства контроля привилегированных пользователей.
По возможности тщательно расследовать каждый ИБ-инцидент.
